Informationen zu Point-to-Site-VPN
Mit einer P2S-VPN-Gatewayverbindung (Point-to-Site) können Sie von einem einzelnen Clientcomputer aus eine sichere Verbindung mit Ihrem virtuellen Netzwerk herstellen. Eine P2S-Verbindung wird hergestellt, indem Sie die Verbindung vom Clientcomputer aus starten. Diese Lösung ist nützlich für Telearbeiter, die an einem Remotestandort (beispielsweise zu Hause oder in einer Konferenz) eine Verbindung mit Azure-VNETs herstellen möchten. Wenn nur einige wenige Clients eine Verbindung mit einem VNET herstellen müssen, ist ein P2S-VPN (und nicht ein S2S-VPN) ebenfalls eine nützliche Lösung. Dieser Artikel gilt für das Resource Manager-Bereitstellungsmodell.
Welches Protokoll verwendet P2S?
P2S-VPN kann eins der folgenden Protokolle verwenden:
OpenVPN®-Protokoll, ein auf SSL/TLS basierendes VPN-Protokoll. Eine TLS-VPN-Lösung kann Firewalls durchdringen, da die meisten Firewalls den von TLS verwendeten TCP-Port 443 für ausgehenden Datenverkehr öffnen. OpenVPN kann zum Herstellen einer Verbindung von Android-, iOS- (Version 11.0 und höher), Windows-, Linux- und Mac-Geräten (macOS-Version 10.13 und höher) verwendet werden.
Secure Socket Tunneling-Protokoll (SSTP), ein proprietäres TLS-basiertes VPN-Protokoll. Eine TLS-VPN-Lösung kann Firewalls durchdringen, da die meisten Firewalls den von TLS verwendeten TCP-Port 443 für ausgehenden Datenverkehr öffnen. SSTP wird nur auf Windows-Geräten unterstützt. Azure unterstützt alle Versionen von Windows, die über SSTP verfügen und TLS 1.2 unterstützen (Windows 8.1 und höher).
IKEv2 VPN, eine standardbasierte IPsec-VPN-Lösung. IKEv2-VPN kann zum Herstellen einer Verbindung von Mac-Geräten (macOS-Version 10.11 und höher) verwendet werden.
Hinweis
IKEv2 und OpenVPN für P2S sind ausschließlich für das Resource Manager-Bereitstellungsmodell verfügbar. Für das klassische Bereitstellungsmodell sind sie nicht verfügbar.
Wie werden P2S-VPN-Clients authentifiziert?
Bevor Azure eine P2S-VPN-Verbindung akzeptiert, muss zunächst der Benutzer authentifiziert werden. Azure bietet zwei Mechanismen zum Authentifizieren eines Benutzers, der eine Verbindung herstellt.
Zertifikatauthentifizierung
Bei Verwendung der nativen Azure-Zertifikatauthentifizierung wird der Benutzer, der eine Verbindung herstellt, mit einem auf dem Gerät vorhandenen Clientzertifikat authentifiziert. Clientzertifikate werden über ein vertrauenswürdiges Stammzertifikat generiert und dann auf jedem Clientcomputer installiert. Sie können ein Stammzertifikat verwenden, das mit einer Unternehmenslösung generiert wurde, oder ein selbstsigniertes Zertifikat generieren.
Die Überprüfung des Clientzertifikats wird vom VPN-Gateway durchgeführt und erfolgt während der Herstellung der P2S-VPN-Verbindung. Das Stammzertifikat ist für die Überprüfung erforderlich und muss in Azure hochgeladen werden.
Microsoft Entra-Authentifizierung
Die Microsoft Entra-Authentifizierung ermöglicht es Benutzer*innen, eine Verbindung zu Azure mit ihren Microsoft Entra-Anmeldeinformationen herzustellen. Die native Microsoft Entra-Authentifizierung wird lediglich für das OpenVPN-Protokoll unterstützt und erfordert die Verwendung von Azure VPN Client. Die unterstützten Clientbetriebssysteme sind Windows 10 oder höher und macOS.
Mit der nativen Microsoft Entra-Authentifizierung können Sie den bedingten Zugriff von Microsoft Entra sowie das Feature der Multi-Faktor-Authentifizierung (MFA) für VPNs nutzen.
Im Allgemeinen müssen Sie die folgenden Schritte ausführen, um die Microsoft Entra-Authentifizierung zu konfigurieren:
Aktivieren Sie die Microsoft Entra-Authentifizierung für das Gateway.
Laden Sie die neueste Version der Installationsdateien von Azure VPN Client über einen der folgenden Links herunter:
- Installieren Sie mithilfe von Client-Installationsdateien: https://aka.ms/azvpnclientdownload.
- Installieren Sie direkt, wenn Sie auf einem Clientcomputer angemeldet sind: Microsoft Store.
Active Directory (AD)-Domänenserver
Die AD-Domänenauthentifizierung ermöglicht Benutzern das Herstellen einer Verbindung mit Azure mit ihren Anmeldeinformationen für die Organisationsdomäne. Dafür ist ein RADIUS-Server erforderlich, der in den AD-Server integriert wird. Organisationen können auch ihre vorhandene RADIUS-Bereitstellung nutzen.
Der RADIUS-Server kann lokal oder im Azure-VNET bereitgestellt werden. Während der Authentifizierung fungiert das Azure-VPN-Gateway als Vermittler und leitet Authentifizierungsnachrichten zwischen dem RADIUS-Server und dem Gerät weiter, das eine Verbindung herstellt. Die Erreichbarkeit des Gateways durch den RADIUS-Server ist daher wichtig. Wenn sich der RADIUS-Server in der lokalen Umgebung befindet, ist aus Gründen der Erreichbarkeit eine VPN-Site-to-Site-Verbindung zwischen Azure und dem lokalen Standort erforderlich.
Der RADIUS-Server kann auch in AD-Zertifikatdienste integriert werden. Dadurch können Sie den RADIUS-Server und Ihre Unternehmenszertifikatbereitstellung für die P2S-Zertifikatauthentifizierung als Alternative zur Azure-Zertifikatauthentifizierung verwenden. Der Vorteil besteht darin, dass Sie keine Stammzertifikate und gesperrten Zertifikate in Azure hochladen müssen.
Ein RADIUS-Server kann auch in andere externe Identitätssysteme integriert werden. Dadurch ergeben sich zahlreiche Authentifizierungsoptionen für P2S-VPNs, einschließlich Optionen für die mehrstufige Authentifizierung.
Welche Anforderungen an die Clientkonfiguration müssen erfüllt sein?
Die Clientkonfigurationsanforderungen variieren abhängig vom verwendeten VPN-Client, dem Authentifizierungstyp und dem Protokoll. In der folgenden Tabelle sind die verfügbaren Clients und die entsprechenden Artikel für die jeweilige Konfiguration aufgeführt.
| Authentifizierung | Tunneltyp | Erstellen von Konfigurationsdateien | Konfigurieren des VPN-Clients |
|---|---|---|---|
| Azure-Zertifikat | IKEv2, SSTP | Windows | Nativer VPN-Client |
| Azure-Zertifikat | OpenVPN | Windows | - OpenVPN-Client - Azure VPN Client |
| Azure-Zertifikat | IKEv2, OpenVPN | macOS-iOS | macOS-iOS |
| Azure-Zertifikat | IKEv2, OpenVPN | Linux | Linux |
| Microsoft Entra ID | OpenVPN (SSL) | Windows | Windows |
| Microsoft Entra ID | OpenVPN (SSL) | macOS | macOS |
| RADIUS – Zertifikat | - | Artikel | Artikel |
| RADIUS – Kennwort | - | Artikel | Artikel |
| RADIUS – andere Methoden | - | Artikel | Artikel |
Wichtig
Ab dem 1. Juli 2018 wird die Unterstützung für TLS 1.0 und 1.1 vom Azure-VPN-Gateway entfernt. Das VPN-Gateway unterstützt dann nur noch TLS 1.2. Nur Point-to-Site-Verbindungen sind betroffen, Site-to-Site-Verbindungen sind nicht betroffen. Wenn Sie TLS für Point-to-Site-VPNs auf Clients unter Windows 10 oder höher verwenden, müssen Sie keine Maßnahmen ergreifen. Bei Verwendung von TLS für Point-to-Site-Verbindungen auf Windows 7- und Windows 8-Clients finden Sie die Updateanweisungen unter VPN-Gateway – häufig gestellte Fragen.
Welche Gateway-SKUs unterstützen P2S-VPN?
Die folgende Tabelle zeigt Gateway-SKUs nach Tunnel, Verbindung und Durchsatz. Weitere Tabellen und weitere Informationen zu dieser Tabelle finden Sie im Abschnitt zu Gateway-SKUs des Artikels Einstellungen für VPN-Gateway.
| VPN Gateway Generation |
SKU | S2S/VNet-zu-VNet Tunnel |
P2S SSTP-Verbindungen |
P2S IKEv2/OpenVPN-Verbindungen |
Aggregat aggregierten Durchsatz |
BGP | Zonenredundant | Unterstützte Anzahl der virtuellen Computer im virtuellen Netzwerk |
|---|---|---|---|---|---|---|---|---|
| Generation 1 | Grundlegend | Maximal 10 | Maximal 128 | Nicht unterstützt | 100 MBit/s | Nicht unterstützt | Nein | 200 |
| Generation 1 | VpnGw1 | Maximal 30 | Maximal 128 | Maximal 250 | 650 MBit/s | Unterstützt | Nein | 450 |
| Generation 1 | VpnGw2 | Maximal 30 | Maximal 128 | Maximal 500 | 1 GBit/s | Unterstützt | Nein | 1300 |
| Generation 1 | VpnGw3 | Maximal 30 | Maximal 128 | Maximal 1000 | 1,25 GBit/s | Unterstützt | Nein | 4000 |
| Generation 1 | VpnGw1AZ | Maximal 30 | Maximal 128 | Maximal 250 | 650 MBit/s | Unterstützt | Ja | 1.000 |
| Generation 1 | VpnGw2AZ | Maximal 30 | Maximal 128 | Maximal 500 | 1 GBit/s | Unterstützt | Ja | 2.000 |
| Generation 1 | VpnGw3AZ | Maximal 30 | Maximal 128 | Maximal 1000 | 1,25 GBit/s | Unterstützt | Ja | 5000 |
| Generation 2 | VpnGw2 | Maximal 30 | Maximal 128 | Maximal 500 | 1,25 GBit/s | Unterstützt | Nein | 685 |
| Generation 2 | VpnGw3 | Maximal 30 | Maximal 128 | Maximal 1000 | 2,5 GBit/s | Unterstützt | Nein | 2240 |
| Generation 2 | VpnGw4 | Maximal 100* | Maximal 128 | Maximal 5.000 | 5 GBit/s | Unterstützt | Nein | 5300 |
| Generation 2 | VpnGw5 | Maximal 100* | Maximal 128 | Maximal 10000 | 10 GBit/s | Unterstützt | Nein | 6700 |
| Generation 2 | VpnGw2AZ | Maximal 30 | Maximal 128 | Maximal 500 | 1,25 GBit/s | Unterstützt | Ja | 2.000 |
| Generation 2 | VpnGw3AZ | Maximal 30 | Maximal 128 | Maximal 1000 | 2,5 GBit/s | Unterstützt | Ja | 3300 |
| Generation 2 | VpnGw4AZ | Maximal 100* | Maximal 128 | Maximal 5.000 | 5 GBit/s | Unterstützt | Ja | 4400 |
| Generation 2 | VpnGw5AZ | Maximal 100* | Maximal 128 | Maximal 10000 | 10 GBit/s | Unterstützt | Ja | 9000 |
Hinweis
Die Basic-SKU weist Einschränkungen auf und unterstützt keine IKEv2-, IPv6- oder RADIUS-Authentifizierung. Weitere Informationen finden Sie im Artikel Einstellungen für VPN Gateway.
Welche IKE/IPsec-Richtlinien werden in VPN-Gateways für P2S konfiguriert?
In den Tabellen in diesem Abschnitt werden die Werte für die Standardrichtlinien angezeigt. Sie spiegeln jedoch nicht die verfügbaren unterstützten Werte für benutzerdefinierte Richtlinien wider. Benutzerdefinierte Richtlinien finden Sie unter den akzeptierten Werten, die im PowerShell Cmdlet New-AzVpnClientIpsecParameter aufgeführt sind.
IKEv2
| Verschlüsselung | Integrität | PRF | DH-Gruppe |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_2 |
IPsec
| Verschlüsselung | Integrität | PFS-Gruppe |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GROUP_NONE |
| GCM_AES256 | GCM_AES256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | GROUP_NONE |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | GROUP_NONE |
Welche TLS-Richtlinien werden in VPN-Gateways für P2S konfiguriert?
TLS
| Richtlinien |
|---|
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 |
Wie konfiguriere ich eine P2S-Verbindung?
Eine P2S-Konfiguration erfordert einige bestimmte Schritte. Die folgenden Artikel enthalten die Schritte, die Sie durch die allgemeinen P2S-Konfigurationsschritte leiten.
Entfernen der Konfiguration einer P2S-Verbindung
Sie können die Konfiguration einer Verbindung mithilfe von PowerShell oder der CLI entfernen. Beispiele finden Sie in den häufig gestellten Fragen.
Wie funktioniert P2S-Routing?
Weitere Informationen finden Sie in folgenden Artikeln:
Häufig gestellte Fragen
Es gibt mehrere FAQ-Abschnitte für P2S, die sich auf die Authentifizierung beziehen.
Nächste Schritte
- Konfigurieren einer Point-to-Site-Verbindung unter Verwendung der Azure-Zertifikatauthentifizierung
- Konfigurieren einer Point-to-Site-Verbindung unter Verwendung der RADIUS-Authentifizierung
„OpenVPN“ ist eine Marke von OpenVPN Inc.